En mai 2025, l’ingénieur sécurité RyotaK de GMO Flatt Security a découvert une vulnérabilité critique (CVE-2025-59489) dans le moteur Unity affectant tous les jeux et applications produits depuis la version 2017.1[web:135][web:137][web:139]. Cette faille permet à une application malveillante sur le même appareil d’exploiter la gestion des intents sous Android pour injecter des arguments dans Unity Runtime. Un attaquant peut ainsi charger une bibliothèque partagée (.so) arbitraire et exécuter du code malveillant avec les droits de l’application Unity, impactant potentiellement l’intégrité et la confidentialité des données utilisateur.
La vulnérabilité repose sur la possibilité pour tout programme local d’invoquer l’activité principale Unity (UnityPlayerActivity) à l’aide du paramètre -xrsdk-pre-init-library, provoquant le chargement d’une bibliothèque spécifiée. Dans certaines situations, une exploitation à distance peut être envisagée via des URLs de type intent si l’application cible accepte la catégorie BROWSABLE, bien que les restrictions SELinux limitent ce vecteur d’attaque à cause des droits sur les répertoires de stockage[web:137][web:139][web:140]. La faille concerne principalement Android mais touche aussi Windows, macOS et Linux ; iOS n’est pas concerné[web:135][web:140].
Unity a publié des correctifs pour toutes les versions maintenues depuis 2019.1 et recommande formellement à tous les développeurs concernés de mettre à jour, recompiler et republier leurs jeux/applications sans délai[web:135][web:141]. L’impact touche une majorité de jeux mobiles et applications utilisant Unity, dont plusieurs titres populaires.
Il s’agit d’une publication technique visant à présenter une vulnérabilité et à signaler la disponibilité de correctifs et d’un outil de patch associé.
🔗 Source originale : https://flatt.tech/research/posts/arbitrary-code-execution-in-unity-runtime/